Baustelle Datenschutz: Das neue BDSG

Das neue Bundesdatenschutzgesetz ist bereits seit dem 1. September in Kraft. Es bringt eine ganze Reihe neuer Regelungen mit sich, auf die Unternehmen umgehend reagieren müssen. Thomas Iberl, Datenschutzexperte und Referent der TÜV SÜD Akademie, informiert über die wichtigsten Änderungen und erklärt, was aus ihnen folgt.

Seit 2008 erlebte Deutschland immer wieder neue Datenschutz-Skandale. Die betroffenen Unternehmen mussten teilweise Bußgelder im siebenstelligen Bereich zahlen. Diese auffällige Häufung hat den Deutschen Bundestag dazu veranlasst, einige wichtige Änderungen im neuen Bundesdatenschutzgesetz (BDSG), das seit dem 01. September 2009 gültig ist, vorzunehmen. Bestehende Paragrafen wurden ergänzt, neue wurden hinzugefügt. Wichtig ist dabei, dass bestimmte Maßnahmen schon zum 1. September umgesetzt werden müssen, für andere wurde eine komfortablere Frist eingeräumt.

Die Änderungen im BDSG waren notwendig
Unternehmen sind bereits seit langem dazu verpflichtet, einen umfassenden sicheren Schutz von Kunden-, Unternehmens- und Personaldaten zu gewährleisten. Die entsprechenden Vorschriften sind vor allem im Bundesdatenschutzgesetz (BDSG), dem Betriebsverfassungsgesetz (BetrVG) und dem Telemediengesetz (TMG) festgeschrieben, zusätzlich aber auch in speziellen unternehmensinternen Regelungen. Viele Unternehmen verweisen zwar auf ihre so genannte ganzheitliche Compliance-Regelung, die sowohl den Datenschutz als auch die IT-Compliance sicherstellen soll – die Realität zeigt hier aber ein ganz anderes Bild: In Deutschland scheint um den erfolgreichen Missbrauch personenbezogener Daten zwischen den Unternehmen geradezu ein Wettbewerb zu herrschen. Ertappte Konzerne sprechen dann euphemistisch davon, die Daten seien „abhanden gekommen“ – als ob die sensiblen Informationen sich außerhalb der Verantwortung des Unternehmens selbständig gemacht hätten. Änderungen im BDSG waren offensichtlich dringend notwendig. Ob sie auch in dieser Form zum Ziel führen, wird sich zeigen.

 

iberl.jpg

Thomas Iberl, Externer Datenschutzbeauftragter,
Inhaber der Iberl Consulting

& Training- Datenschutz Consulting in Creußen und Referent der TÜV SÜD Akademie

Datenschutz wird immer wichtiger
Im Zeitalter von Unternehmens-Globalisierungen gewinnt der Datenschutz zusätzlich an Bedeutung, vor allem weil er unmittelbar das Vertrauen zwischen Kunden und Unternehmen betrifft. Kunden und Lieferanten, die geschäftliche Beziehungen zu Unternehmen pflegen oder in Unternehmen investieren, müssen sich auf den Schutz ihrer persönlichen Daten verlassen können. Nur ein Datenschutz, der gelebt und verstanden wird, schafft Vertrauen. Wird der Datenschutz verletzt, drohen dagegen ein massiver Imageverlust, Vertrauensverlust, Haftungsschäden und Bußgeldkosten. Die Zukunft wird zeigen, ob die Unternehmen aufgrund der Änderungen des BDSG ihr Verhalten im Umgang mit personenbezogenen Daten verändern. Damit die grundsätzlich erfreulichen Änderungen im Gesetz auch tatsächlich greifen, müssten die Aufsichtsbehörden die Unternehmen wirkungsvoll kontrollieren, was bislang nicht geschieht.

Hierarchieverhalten der Unternehmen
In einem Unternehmen wird die Richtung seiner Geschäftstätigkeiten hierarchisch bestimmt. Wenn die Geschäftsleitung von der Notwendigkeit des Datenschutzes nicht überzeugt ist und ihre eigene Strategie nicht vorlebt, werden die Mitarbeiter sie auch nicht umsetzen. Mitarbeiter handeln auf Anweisung. Nur gemeinsames Handeln in die gleiche, strategisch vorgegebene Richtung mit den notwendigen Kontrollstrukturen bringt ein Unternehmen vorwärts. Und nur über den Datenschutz informierte Mitarbeiter können diesen Weg mitgehen. Sie helfen dem Unternehmen, seine Datenschutzrisiken zu mindern und es vor Haftung zu bewahren.

Geht es um den Schutz personenbezogener Daten, schadet jede Ignoranz dem Unternehmen und kann sogar sein Überleben im Wettbewerb bedrohen. Kein Unternehmen kann es sich heute leisten, aufgrund von Datenschutzverfehlungen Kunden zu verlieren. Deshalb ist der Datenschutz Chefsache. Die Unternehmensleitung muss dafür Sorge tragen, dass Änderungen in den einschlägigen Gesetzen auch von den Mitarbeitern zur Kenntnis genommen und umgesetzt werden. Datenschutz soll es dem Einzelnen ermöglichen, seine Privatsphäre zu schützen und zu erhalten, und ist damit eine gesetzliche Pflicht, die alle Unternehmen, gleich welcher Größenordnung oder Branche, betrifft.

Setzen Sie den Datenschutz sicher um, schützen Sie Ihr Unternehmen auch vor einer zivil- und strafrechtlichen Verfolgung sowie der Ahndung von Vergehen gegen die geltenden neuen Datenschutzbestimmungen. Datenschutz gewährleistet damit nicht nur das informationelle Selbstbestimmungsrecht des Einzelnen. Die Einhaltung der gesetzlichen Kontrollmechanismen ist auch eine wichtige Aufgabe kaufmännischer Sorgfalt. Ebenso wichtig ist die IT-Sicherheit. Sie schützt ja nicht nur personenbezogene Daten, sondern auch die Vertraulichkeit und Verfügbarkeit der Informationen Ihres Unternehmens insgesamt.

Viele Unternehmen richten ihre Sicherheitsmaßnahmen primär gegen Bedrohungen von außen. Dabei übersehen sie die nicht unerhebliche Gefahr durch Verstöße und Missbrauch so genannter „Innentäter“. Mitarbeiterkriminalität, Betrug und Korruption könnten in der aktuellen wirtschaftlichen Situation noch zunehmen. In einem modernen Unternehmen ist Datenschutz deshalb ein integraler Bestandteil der Corporate Identity (CI). Eine Strategie, die im Marketing exzellent verwendet werden kann. Schließlich sind ihre Kunden und Mitarbeiter das höchste Gut, das Unternehmen haben. Nur ein Datenschutz, der im Unternehmen gelebt und verstanden wird, ist ein Vorteil für das Unternehmen, seine Kunden und deren Mitarbeiter. Das zu erreichen, ist eine Aufgabe der Unternehmensleitung.

Das geplante "Datenschutz-Auditgesetz"
Datenschützer und Datenschutzverbände sowie – neben anderen – auch der Bundesdatenschutzbeauftragte Peter Schaar forderten seit Jahren ein so genanntes "Datenschutz-Audit". Bereits im Jahr 2001 hatte die Bundesregierung die Grundlagen für ein solches Audit-Gesetz für den Datenschutz gelegt. Der ursprüngliche Gesetzesentwurf räumt mit Paragraf 9a BDSG den "Anbietern von Datenverarbeitungssystemen und -programmen und datenverarbeitenden Stellen" die Möglichkeit ein, "ihr Datenschutzkonzept sowie ihre technischen Einrichtungen (TOM’s) durch einen unabhängigen und zugelassenen Gutachter prüfen und bewerten zu lassen".

Kluge Unternehmen lassen deshalb jetzt eine Datenschutz-Analyse bzw. ein Datenschutz-Audit (DSA) auf Basis der aktuellen verbindlichen Novellen durchführen. Sie finden damit heraus, wie der Datenschutz bisher umgesetzt wurde, ob Ihr Datenschutz-System die gesetzlichen Anforderungen in der Praxis erfüllt oder ob es ergänzt werden muss. Außerdem kennen sie die verbleibenden Risiken. Anschließend muss der Datenschutzbeauftragte sich schnellstens mit den Gesetzesänderungen und Neuerungen vertraut machen. Er kann dazu geeignete Schulungen besuchen. Abhängig vom Ergebnis der Analyse oder des Audits, wird er so rasch wie möglich die Defizite beseitigen. Indem er die gesetzliche Sicherheit im Unternehmen durchsetzt, minimiert er das Risiko für das Unternehmen und für die im Schadensfall haftende Geschäftsführung. Die Änderungen betreffen insgesamt 7 neue Paragraphen die in das Bundesdatenschutzgesetz (BDSG) aufgenommen wurden, sowie Änderungen in 13 bestehenden Paragraphen.

Welche Aufgaben Ihnen das neue BDSG auf die Agenda setzt
Was Sie jetzt dringend tun sollten:
1. Überprüfen Sie alle Verträge zur Auftragsdatenverarbeitung (§ 11 BDSG).
2. Setzen Sie die neuen Regelungen für die Aufklärung von Arbeitnehmer-Straftaten um ( § 32 BDSG).
3. Besprechen Sie die Gefahren des Datenschutzprangers (§ 42a BDSG).
4. Lassen Sie Datenbestände für die Werbung zum Stichtag aufspalten (§ 28 Abs. 2 BDSG).

Neue Bußgeldtatbestände ab dem 01.09.2009
Die Ordnungswidrigkeit eines Verstoßes gegen das BDSG kann in vielen Fällen mit einer Geldbuße bis zu 50.000. – EURO, in anderen Fällen sogar mit einer Geldbuße bis zu 300.000. – EURO geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die genannten Beträge hierfür nicht aus, so können sie überschritten werden. Mit der Geldbuße soll der wirtschaftliche Vorteil des Täters oder der Tätergruppe rückgängig gemacht werden.

Unterschiedliche Fristen
Bestimmte Neuerungen im Bundesdatenschutzgesetz (BDSG) sind sofort ab dem 01.09.2009 umzusetzen, andere zum 01.04.2010, weitere zum 11.06.2010 und zum 01.09.2012. Neue Regelungen gibt es insbesondere für das Scoring und die Datenübermittlung an Auskunfteien sowie die geschäftsmäßige Datenerhebung und Datenspeicherung. Auch ist nun eine Informationspflicht gegenüber den Betroffenen vorgesehen, wenn man auf unrechtmäßige Weise Kenntnis von deren Daten erhalten hat.

Arbeitnehmerdatenschutz: Whistleblowing-Systeme, internes Anzeigewesen
Neue Regelungen gibt es auch für den Umgang mit Beschäftigtendaten (Arbeitnehmerdatenschutz). Sie bringen allerdings wenig Neues in das neue BDSG ein und lassen deshalb weiter auf das dringend benötigte Arbeitnehmerdatenschutz-Gesetz warten. Das schon bestehende Whistleblowing- System erlaubt u. a. betroffenen Mitarbeitern, sich an die zuständige Datenschutz-Aufsichtsbehörde auch anonym zu wenden und Verstöße und Missbrauch von Arbeitnehmerdaten zu melden. So kann Fehlverhalten seitens der Arbeitgeber geprüft und notwendige Maßnahmen können eingeleitet werden.

Besserer Kündigungsschutz für Datenschutzbeauftragte (DSB)
Betriebliche und behördliche Datenschutzbeauftragte haben nach dem neuen Bundesdatenschutzgesetz (BDSG) seit dem 01.09.2009 einen verbesserten Kündigungsschutz erhalten. Dem Datenschutzbeauftragten (DSB) kann nur noch in schwer wiegenden Fällen gekündigt werden. Sinn und Zweck der Neuregelung ist es, einen besonders gewissenhaften Datenschutzbeauftragten, der seinen Aufgaben pflichtbewusst nachkommt, vor Benachteiligungen zu schützen. Eine weitere wichtige Neuerung betrifft die Aus- und Fortbildung der Datenschutzbeauftragten. Ihnen müssen die zur Erlangung und auch zur Erhaltung der Fachkunde erforderlichen Fort- und Weiterbildungsmaßnahmen vom Unternehmen ermöglicht und bezahlt werden.

Hinweispflicht bei Datenpannen
Im BDSG, TKG und TMG sind nun Informationspflichten über Datenpannen enthalten. Danach muss – auch öffentlich – informiert werden, wenn sensible Daten, wie beispielsweise Bank- oder Kreditkartenkonten, Informationen über möglicherweise strafbare Handlungen oder Verkehrs- und Bestandsdaten nach dem TKG oder TMG Dritten unrechtmäßig zur Kenntnis gelangt sind.

Neue Regeln für die Werbung
Mit einer recht unübersichtlichen Neugestaltung der §§ 28, 29, 30a, 34 BDSG wird die Verwendung personenbezogener Daten zu Werbezwecken, zum Adresshandel sowie zur Markt- und Meinungsforschung neu geregelt. Die im BDSG in Kraft getretenen Regelungen sollen personenbezogene Daten noch besser gegen Missbrauch durch unerlaubte Weitergabe schützen. Sie wurden aber nicht so streng verabschiedet wie es zuerst vorgesehen war. Im Ergebnis besteht jedoch für jedes Unternehmen sofortiger Handlungsbedarf. Denn nicht nur der "klassische Adresshandel" wird neu geregelt, sondern vor allem auch die Verwendung und Weitergabe personenbezogener Daten für die Werbung. Zusätzlich gibt es neue Vorgaben für das Einholen von Werbeeinwilligungen am Telefon.

Fazit:
Auch wenn manche Unternehmen bislang die Neuerungen im Bundesdatenschutzgesetz seit dem 01.09.2009 noch nicht zur Kenntnis nehmen konnten oder noch nicht umgesetzt haben, schützt das die Unternehmer bei Verstößen nicht gegen Haftung. Hier besteht deshalb dringender Handlungsbedarf.

weiterführende Links
  1. Gelegenheit, sich zum neuen BDSG umfassend zu informieren, gibt das neue 1-Tages-Seminar „Das neue Bundesdatenschutzgesetz“.
  2. Infos zu den Datenschutz-Seminaren „Datenschutzbeauftragte/r DSB-TÜV“ und „Workshop für Datenschutzbeauftragte“


an den Seitenanfang  |  Seite weiterempfehlen

Kontakt


Andreas Lindt

T 089 5791-1404

  1. andreas.lindt@tuev-sued.de

Akademie Kurssuche


  1. Erweiterte Kurssuche

Warenkorb

Gesamtanzahl der Produkte: 0
  1. Warenkorb einsehen
Kostenlose Service-Hotline: 0800 - 888 4444E-Mail: info@tuev-sued.de